Muster zur Negativauskunft über Datenverarbeitung erweitert

Muster zur Negativauskunft über Datenverarbeitung erweitert
6 min
Beitrag vom: 23.01.2019

Stellt ein Händler bei Bearbeitung eines Datenauskunftsantrags fest, dass zur Person des Antragstellers überhaupt keine Daten verarbeitet wurden, muss er diesen mit einer Mitteilung entsprechenden Inhalts negativ verbescheiden. Doch was ist zwingender Inhalt einer solchen Negativauskunft?

Fallbeispiel und Problemstellung

Um die Problematik greifbar und die nachstehenden Ausführungen verständlich zu machen, vorab ein kleines Fallbeispiel:

Privatperson X stellt bei Online-Händler Y Antrag auf Datenauskunft. Bei Bearbeitung des Antrags stellt Online-Händler Y nun aber fest, dass er zu X keinerlei Daten vorliegen hat (weil X weder registrierter Kunde ist noch irgendwann einmal etwas als Gast bei Y bestellt hat).

Freilich darf Y jetzt nicht untätig bleiben, sondern muss dem X mitteilen, dass zu seiner Person keine Daten verarbeitet werden.

Doch reicht das? Immerhin sieht Art. 15 Abs. 1 der DSGVO, der das Recht auf Datenauskunft behandelt, verschiedenartige Pflichtinformationen vor, die einer Auskunft beizustellen sind.

Grundlegende Einigkeit herrscht zumindest dahingehend, dass bei einer Negativauskunft nicht über Umstände zu belehren ist, die eine tatsächliche Datenverarbeitung betreffen (Verarbeitungszwecke, Kategorien der betroffenen Daten, Empfängerkategorien etc.).

Dies deshalb, weil im Falle einer Negativauskunft ja überhaupt keine personenbezogenen Daten des Antragstellers verarbeitet wurden.

Einige Anwälte sind nun aber der Ansicht, dass bei einer Negativauskunft zumindest auch über die verschiedenen Betroffenenrechte und das Recht der Beschwerde bei einer Aufsichtsbehörde nach Art. 15 Abs. 1 Buchstabe e und f DSGVO zu informieren ist. Der IT-Recht Kanzlei liegt hierzu sogar eine aktuelle Abmahnung vor.

Banner Starter Paket

Altes Muster der IT-Recht Kanzlei zur negativen Datenauskunft

Das bisherige Muster der IT-Recht Kanzlei für eine negative Datenauskunft beinhaltete lediglich die Information, dass personenbezogene Daten des Antragstellers nicht verarbeitet werden. Pflichtinformationen nach Art. 15 Abs. 1 Buchstabe e und f DSGVO über Betroffenenrechte waren bis dato noch kein Bestandteil der Mitteilung.

Rechtliche Würdigung: Information über Betroffenenrechte in Negativauskunft erforderlich?

Doch war das alte Muster dadurch rechtlich angreifbar? Besteht tatsächlich – wie derzeit vereinzelt vertreten – auch bei Negativauskünften zumindest die Pflicht, den Betroffenen zusätzlich über seine Rechte aufzuklären?

1. Wortlaut: Pflichtinformationen nur für Positivauskunft

Gegen das Eingreifen erweiterter Informationspflichten für eine negative Datenauskunft, die sich auch auf die Belehrung über Betroffenenrechte erstreckt, spricht zunächst der eindeutige Wortlaut des Art. 15 Abs. 1 DSGVO.

Dort heißt es:

"Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen …"

Wie der zweite Halbsatz nach dem Semikolon mit der Formulierung „ist dies der Fall“ (in der englischen Fassung “where that is the case“) verständlich macht, soll der Betroffene ein Recht auf die Pflichtinformationen des Art. 15 DSGVO nur haben, wenn der Verantwortliche tatsächlich personenbezogene Daten des Betroffenen verarbeitet. Ist dies im Gegenteil nicht der Fall, so besteht einerseits kein Recht des Betroffenen auf die Pflichtinformationen und damit zusammenhängend im Umkehrschluss auch keine Pflicht des Verantwortlichen, diese bereitzustellen.

Weil aber die Betroffenenrechte vom EU-Gesetzgeber in Art. 15 Abs. 1 Buchstabe e und f DSGVO ausdrücklich dem Informationskatalog zugeordnet werden, der nur „im Falle“ der positiven Datenauskunft beachtet werden muss, können diese nicht aus ihrem Kontext gerissen und für die Negativauskunft vorausgesetzt werden.

2. Sinn und Zweck: Informationen über Betroffenenrechte nur bei tatsächlicher Datenverarbeitung sinnhaft

Zum gleichen Ergebnis gelangt man, wenn man den Zweck der Betroffenenrechte in den Auskunftskontext selbst gegenüberstellt. Die Rechte sollen dem Betroffenen die Möglichkeit geben, sich gegen die unrichtige, fehlerhafte oder unrechtmäßige Verarbeitung personenbezogener Daten zunächst gegenüber dem Verantwortlichen selbst zu wehren und schließlich im Falle der Nichtabhilfe eine zuständige Aufsichtsbehörde zu kontaktieren.

Die Betroffenenrechte – ebenso wie eine Information über diese – machen insofern nur dort Sinn, wo tatsächlich personenbezogene Daten verarbeitet werden. Erhält ein Auskunftssuchender aber Auskunft, dass keinerlei Daten zu seiner Person von einer Verarbeitung betroffen sind, fehlt es den Betroffenenrechten schon an einer gegenständlichen Grundlage und sie gingen zwangsweise ins Leere.

Aus diesem Grund leuchtet es auch ein, dass der EU-Gesetzgeber die Pflichtinformationen über die Betroffenenrechte in Art. 15 Abs. 1 Buchstabe e und f DSGVO in einen strengen inhaltlichen Kontext zu weiteren Informationen über die Art und Weise einer Datenverarbeitung (Art. 15 Abs. 1 Buchstabe a-d und Buchstabe g und h DSGVO), weil diese sich gegenseitig bedingen.

Wo aber – wie im Falle der negativen Datenauskunft – Betroffenenrechte von vornherein einer Grundlage (nämlich einer Datenverarbeitung belehren), kann auch keine Pflicht bestehen, auf diese hinzuweisen.

3. Exkurs: Erfassung und Bearbeitung eines Auskunftsantrags als eigenständige Datenverarbeitung?

Nicht nur zu einem Gleichlauf der Informationspflichten über Betroffenenrechte, sondern zu einer Geltung sämtlicher, auch verarbeitungsspezifischer Pflichthinweise im Rahmen der Negativauskunft käme man, wenn man die Erfassung und Bearbeitung eines Auskunftsantrags als eigenständige Verarbeitung personenbezogener Daten sähe, über die sodann – selbst für den Fall der Nichtverarbeitung sonstiger Daten – im Rahmen eines Auskunftsgesuchs informiert werden müsste.

Dieser Standpunkt ist allerdings kaum haltbar, weil er zu einem vom EU-Gesetzgeber nicht beabsichtigten Zirkelschluss führen und die Negativauskunft stets zwangsweise in eine Positivauskunft umwandeln würde.

Die nach Art. 15 Abs. 1 DSGVO für den Umfang der Auskunft entscheidende Frage, ob personenbezogene Daten verarbeitet werden, kann nur auf Verarbeitungsvorgänge bezogen werden, die zeitlich vor dem Auskunftsverlangen liegen bzw. nicht mit diesem im Zusammenhang stehen. Die Bearbeitung des Auskunftsverlangens selbst als Datenverarbeitung darf für die Einordnung indes keine Rolle spielen, weil nur so die in Art. 15 Abs. 1 DSGVO angelegte Unterscheidung zwischen Positiv- und Negativauskunft sinnhaft ausgeübt werden kann. Sähe man auch die Bearbeitung des Auskunftsverlangens selbst als Datenverarbeitung liefe die vom EU-Gesetzgeber vorgesehene Möglichkeit einer Negativauskunft ohne weitergehende Informationspflichten praktisch stets leer.

Safety First: IT-Recht Kanzlei aktualisiert Muster für negative Datenauskunft

Auch wenn sich mit den obigen Ausführungen die Nichterforderlichkeit von Pflichtinformationen über Betroffenenrechte für die negative Datenauskunft rechtlich stichhaltig begründen lässt, ist nicht auszuschließen, dass auf dem Gebiet der Datenauskünfte weitere, die Gegenauffassung vertretene Abmahnungen folgen.

Ausgehend davon, dass ein zusätzlicher Hinweis auf die Betroffenenrechte als „Zusatzinformation“ innerhalb der Negativauskunft immerhin nicht rechtsschädlich sein kann, hat die IT-Recht Kanzlei, um Ihren Mandanten zeit- und kostenaufwändige rechtliche Auseinandersetzungen zu ersparen, jüngst die Muster für die Negativauskunft in deutscher, englischer und französischer Sprache aktualisiert und Hinweise auf die Betroffenenrechte ergänzt.

Die überarbeiteten Muster sind bereits im Mandantenportal hinterlegt, reduzieren die Angriffsfläche und sorgen so für Rechtssicherheit.

Mandanten der IT-Recht Kanzlei wird empfohlen, bis zur gerichtlichen Ausräumung der Abmahnansicht nur mehr ausschließlich die aktualisierten Muster zu verwenden.

Fazit

Die in derzeit kursierenden Abmahnungen vertretene Ansicht, auch eine negative Datenauskunft setzte die Information über die Betroffenenrechte zwingend voraus, ist sowohl nach dem Wortlaut des anzuwendenden Art. 15 DSGVO als auch nach dem Funktionszweck der Betroffenenrechte selbst kaum haltbar. Sowohl der Wortlaut als auch der Rechtszweck setzen für die zwingende Information nämlich eine tatsächliche Verarbeitung personenbezogener Daten voraus, während Bedingung für die Negativauskunft gerade deren Fehlen ist.

Dennoch hat die IT-Recht Kanzlei aus Gründen der Rechtssicherheit die Muster für negative Datenauskünfte im Mandantenportal um Hinweise auf die Betroffenenrechte erweitert, um potenziellen Abmahnern von vornherein den Wind aus den Segeln zu nehmen.

Bei weiteren Fragen zum Auskunftsrecht nach der DSGVO steht Ihnen die IT-Recht Kanzlei gerne persönlich zur Verfügung.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle: Cagkan Sayin / shutterstock.com

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

Beiträge zum Thema

Müssen Online-Marktplätze Gastbestellungen ermöglichen?
(23.04.2025, 12:15 Uhr)
Müssen Online-Marktplätze Gastbestellungen ermöglichen?
BGH: DSGVO-Schadensersatz bei unerwünschter Werbe-E-Mail?
(21.03.2025, 07:55 Uhr)
BGH: DSGVO-Schadensersatz bei unerwünschter Werbe-E-Mail?
Reicht eine Entschuldigung als DSGVO-Schadensersatz aus?
(05.03.2025, 07:24 Uhr)
Reicht eine Entschuldigung als DSGVO-Schadensersatz aus?
Verbot von US-Datentransfers droht - Datenschutzerklärungen betroffen
(25.02.2025, 14:18 Uhr)
Verbot von US-Datentransfers droht - Datenschutzerklärungen betroffen
EuGH: Zwingende Anrede-Auswahl ist DSGVO-Verstoß
(27.01.2025, 19:00 Uhr)
EuGH: Zwingende Anrede-Auswahl ist DSGVO-Verstoß
DSGVO-Verstoß bei Dienstleister: Schadensersatz!
(20.01.2025, 10:43 Uhr)
DSGVO-Verstoß bei Dienstleister: Schadensersatz!
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern
Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2025 · IT-Recht Kanzlei